IPsec 連接所屬的地域 ID。

您可以通過調用 DescribeRegions 接口獲取地域 ID。

IPsec 連接的名稱。

名稱長度為 1～100 個字符，不能以http://或https://開頭。

用戶網關 ID。

IPsec 連接的網絡類型。取值：

• public（默認值）：公網，表示 IPsec 連接通過公網建立加密通信通道。
• private：私網，表示 IPsec 連接通過私網建立加密通信通道。

需要和本地數據中心互通的 VPC 側的網段，用于第二階段協商。

多個網段之間用半角逗號（,）分隔，例如：192.168.1.0/24,192.168.2.0/24。

關于 IPsec 連接路由模式的說明：

• 如果 LocalSubnet 和 RemoteSubnet 均輸入為 0.0.0.0/0，則表示您使用目的路由模式。
• 如果 LocalSubnet 和 RemoteSubnet 均輸入具體的網段，則表示您使用感興趣流模式。

需要和 VPC 互通的本地數據中心側的網段，用于第二階段協商。

多個網段之間用半角逗號（,）分隔，例如：192.168.3.0/24,192.168.4.0/24。

關于 IPsec 連接路由模式的說明：

• 如果 LocalSubnet 和 RemoteSubnet 均輸入為 0.0.0.0/0，則表示您使用目的路由模式。
• 如果 LocalSubnet 和 RemoteSubnet 均輸入具體的網段，則表示您使用感興趣流模式。

選擇 IPsec 連接的配置是否立即生效。 取值：

• true：是，配置完成后系統立即進行 IPsec 協議協商。
• false（默認值）：否，當有流量進入時系統才進行 IPsec 協議協商。

第一階段協商的配置信息：

• IkeConfig.Psk：預共享密鑰，用于 VPN 網關與本地數據中心之間的身份認證。

  • 密鑰長度為 1~100 個字符，支持數字、大小寫英文字母以及右側字符，不能包含空格。~!`@#$%^&*()_-+={}[]|;:',.<>/?

  • 若您未指定預共享密鑰，系統會隨機生成一個 16 位的字符串作為預共享密鑰。您可以調用 DescribeVpnConnection 接口查詢系統自動生成的預共享密鑰。

  說明 IPsec 連接側的預共享密鑰需和本地數據中心側的認證密鑰一致，否則本地數據中心和 VPN 網關之間無法建立連接。

• IkeConfig.IkeVersion：IKE 協議的版本。取值：ikev1 或 ikev2。默認值：ikev1。

• IkeConfig.IkeMode：協商模式。取值：main 或 aggressive。默認值：main。

• IkeConfig.IkeEncAlg：第一階段協商的加密算法。取值：aes、aes192、aes256、des 或 3des。默認值：aes。

• IkeConfig.IkeAuthAlg：第一階段協商的認證算法。取值：md5、sha1、sha256、sha384、sha512。默認值：md5。

• IkeConfig.IkePfs：第一階段協商使用的 Diffie-Hellman 密鑰交換算法。取值：group1、group2、group5 或 group14。默認值：group2。

• IkeConfig.IkeLifetime：第一階段協商出的 SA 的生存周期。單位：秒。取值范圍：0~86400。默認值：86400。

• IkeConfig.LocalId：IPsec 連接阿里云側的標識，長度限制為 100 個字符，不能包含空格。默認值為空。

• IkeConfig.RemoteId：IPsec 連接本地數據中心側的標識，長度限制為 100 個字符，不能包含空格。默認值為用戶網關的 IP 地址。

第二階段協商的配置信息：

• IpsecConfig.IpsecEncAlg：第二階段協商的加密算法。取值：aes、aes192、aes256、des 或 3des。默認值：aes。

• IpsecConfig. IpsecAuthAlg：第二階段協商的認證算法。取值：md5、sha1、sha256、sha384、sha512。默認值：md5。

• IpsecConfig. IpsecPfs：第二階段協商使用的 Diffie-Hellman 密鑰交換算法。取值：disabled、group1、group2、group5 或 group14。默認值：group2。

• IpsecConfig. IpsecLifetime：第二階段協商出的 SA 的生存周期。單位：秒。取值范圍：0~86400。默認值：86400。

BGP 的配置信息：

• BgpConfig.EnableBgp：是否開啟 BGP 功能。取值：true 或 false（默認值）。

• BgpConfig.LocalAsn：阿里云側的自治系統號。自治系統號取值范圍：1~4294967295。默認值：45104。

  支持按照兩段位的格式進行輸入，即：前 16 位比特.后 16 位比特。每個段位使用十進制輸入。

  例如輸入 123.456，則表示自治系統號：123*65536+456=8061384。

• BgpConfig.TunnelCidr：IPsec 隧道網段。該網段需是一個在 169.254.0.0/16 內的掩碼長度為 30 的網段，且不能是 169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30 和 169.254.169.252/30。

• LocalBgpIp：阿里云側的 BGP 地址。該地址為 IPsec 隧道網段內的一個 IP 地址。

健康檢查配置信息：

• HealthCheckConfig.enable：是否開啟健康檢查，取值：true 或 false（默認值）。

• HealthCheckConfig.dip：健康檢查的目的 IP 地址。輸入 VPC 側通過 IPsec 連接可以訪問的本地數據中心的 IP 地址。

• HealthCheckConfig.sip：健康檢查的源 IP 地址。輸入本地數據中心通過 IPsec 連接可以訪問的 VPC 側的 IP 地址。

• HealthCheckConfig.interval：健康檢查的重試間隔時間，單位：秒。默認值：3。

• HealthCheckConfig.retry：健康檢查的重試發包次數。默認值：3。

• HealthCheckConfig.Policy：健康檢查失敗時是否撤銷已發布的路由。取值：

  • revoke_route（默認值）：撤銷已發布的路由。
  • reserve_route：不撤銷已發布的路由。

是否自動配置路由。取值：

• true（默認值）：自動配置路由。

• false：不自動配置路由。

是否開啟 DPD（對等體存活檢測）功能。取值：

• true（默認值）：開啟 DPD 功能。IPsec 發起端會發送 DPD 報文用來檢測對端的設備是否存活，如果在設定時間內未收到正確回應則認為對端已經斷線，IPsec 將刪除 ISAKMP SA 和相應的 IPsec SA，安全隧道同樣也會被刪除。

• false：不開啟 DPD 功能，IPsec 發起端不會發送 DPD 探測報文。

是否開啟 NAT 穿越功能。取值：

• true（默認值）：開啟 NAT 穿越功能。開啟后，IKE 協商過程會刪除對 UDP 端口號的驗證過程，同時實現對 VPN 隧道中 NAT 網關設備的發現功能。

• false：不開啟 NAT 穿越功能。

國密型 VPN 網關創建 IPsec 連接時，對端的 CA 證書。

客戶端 Token，用于保證請求的冪等性。

從您的客戶端生成一個參數值，確保不同請求間該參數值唯一。ClientToken 只支持 ASCII 字符。

IPsec 連接待添加的標簽列表。

一次最多支持為 IPsec 連接添加 20 個標簽。

IPsec 連接所屬的資源組 ID。

• 您可以調用 ListResourceGroups 接口查詢資源組 ID。
• 如果您未指定資源組 ID，IPsec 連接創建后將歸屬于默認資源組。